Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향[2019년 12월 16일] 주요 보안 이슈
작성일 2019-12-16 조회 355

1. [기사] 개인정보에다 통화기록까지 서버에 통째로! 부동산 프로그램이 위험하다
[https://www.boannews.com/media/view.asp?idx=85203&page=1&kind=1]
부동산을 거래하는 과정에서 민감한 개인정보와 통신비밀 등이 누설될 우려가 크다는 지적이 제기된 가운데 유관 정부 부처 및 유관 기관이 ‘떠넘기기’식 대응으로 일관해 문제를 키우고 있다는 비판이 잇따르고 있다. 그간 제기된 문제는 부동산 사무실(이하 중개업소)가 사무실 PC에 설치된 부동산 중개 프로그램(이하 부동산 프로그램)에 입력하는 개인정보와 통신사실확인자료 등의 일체가 실시간으로 ‘서버버전 프로그램 서비스 업체(이하 서버회사)’의 서버를 통해 통째로 유출되고 있다는 점이다. 현재 20여개에 달하는 부동산 프로그램들은 ‘부동산 거래 정보망’이라는 이름으로 중개업소의 PC에 대부분 설치되어 있는데, 이에 따라 중개업소에서 계약서 등을 온라인으로 작성하게 되면 고객들의 주민번호와 주소, 연락처 등의 개인정보는 물론이고, 계약금과 거주형태(자가/전세/월세 등), 동거인 등의 부동산 관련 민감 정보들이 모두 프로그램 서버에 저장된다는 얘기다.  고객과 중개업소는 이러한 정보들이 중개업소의 컴퓨터에 저장된다고 생각하지만, 실제로는 상담과 통화 등에 있어 제3자에 해당하는 서버회사에 실시간으로 넘어가고 있던 셈이다. 또 다른 문제는 해당 이슈에 대한 관계 당국의 ‘떠넘기기식’ 대응이다. 프로그램 자체의 정보 유출 우려로 여러 정부 부처에 민원이 제기돼 왔음에도 오랜 기간 서로 소관 사항이 아니라며 다른 부처에 떠넘기기에만 급급했다는 것이다. 이렇듯 문제해결이 지지부진하면서 대규모 개인정보 유출 사고가 발생할 우려도 더욱 커지고 있다. 20여 개에 달하는 부동산 프로그램이 해커들의 타깃이 될 경우 고객들의 개인정보와 중개업소의 영업 정보는 물론, 양 당사자의 통신비밀 일체가 통째로 유출될 수 있기 때문이다. 


2. [기사] 해킹그룹 ‘코니’, 병원관련 소송 답변 문서로 위장해 APT 공격 수행
[https://dailysecu.com/news/articleView.html?idxno=86946]
12월 12일, 해킹그룹 '코니(Konni)' 조직으로 분류된 신규 APT 위협정보가 포착됐다. 이번 공격은 광주 성형외과 운영관계자 간 법적 소송 문건을 담고 있는 악성 한글 문서가 공격에 활용된 것으로 조사됐다. 이번 공격에 사용된 악성 파일명에 실제 성형외과의 대표명이 포함되어 있고 HWP 문서 파일 내부에는 악성 포스트 스크립트 코드가 포함되어 있으며, HWP 악성 문서 파일이 실행되면 정상적인 소송 관련 답변서 내용이 보인다. 디코딩 과정을 거치면 쉘코드가 포함된 2차 포스트 스크립트가 나타나며, 쉘코드를 통해 C2 서버로 통신을 시도하여 'vbs.txt' 파일을 로드한다. 'vbs.txt' 파일은 Base64 형식으로 인코딩된 데이터를 포함하고 있고, C2에 추가로 등록된 'no1.txt' 파일의 명령을 수행한다. 각각의 스크립트 명령에 의해 감염된 컴퓨터에 설치된 각종 프로그램 및 파일 목록, 시스템 정보, 프로세스 리스트, 윈도우 컴퓨터명 등을 C2 서버로 유출 시도한다. ESRC는 이번 위협에서 사용된 C2 도메인이 지난 9월 생성되었고, 등록자 정보에서 악성 도메인이 대한민국의 광주 지역에서 등록되었고, 등록자명은 'JungSuk Park(박정석)'인 것을 확인했다. 또한, 또 도메인 등록용 이메일 주소는 기존 코니 캠페인과 유사한 계정이 사용되었다. 그리고 ESRC는 도메인 등록에 사용된 휴대폰 번호가 '카카오톡'에 등록된 것을 확인했는데, 한국인은 아니며 공격자가 악성 도메인 등록 시 스마트폰 번호를 무단 도용한 것인지는 확인되지 않았다.


3. [기사] 부활한 워터베어 캠페인, 이번에는 API 후킹 기능도 탑재
[https://www.boannews.com/media/view.asp?idx=85200&page=1&kind=1]
오래된 공격 캠페인 중 하나인 워터베어(Waterbear)가 API 후킹(API Hooking)이라는 새로운 탐지 우회 기능을 가지고 부활했다. 이 기술을 통해 워터베어 공격자들은 자신들이 네트워크 안에서 벌이는 행위를 감출 수 있게 된다고 한다. 워터베어 캠페인의 배후에는 블랙테크(BlackTech)라는 사이버 정찰 그룹이 있는 것으로 알려져 왔다. 블랙테크는 모듈화된 멀웨어를 활용해, 원격에서 각종 기능을 덧붙이는 것을 특징으로 한다. 이번에 새롭게 시작된 워터베어 캠페인의 경우 API 후킹이라는 기술이 새롭게 추가됐는데, 아태지역에 있는 한 보안 업체의 탐지를 피하고자 활용되고 있다고 한다. 워터베어는DLL 로더를 사용해 RC4로 암호화된 페이로드를 복호화하고 실행시킨다. 이 페이로드는 1단계 백도어로, 성공적으로 안착해 실행될 경우 또 다른 페이로드를 가져와 실행시킨다. 이 두 번째 페이로드 역시 백도어로, C&C 서버와 접속하거나 특정 포트를 관찰하는 기능을 수행한다. 워터베어 캠페인의 일환으로 벌어지는 공격 중 일부에서는 암호화된 페이로드에 대한 파일 경로가 하드코드 되어 있는 것으로 보아 공격자들은 표적의 환경에 대해 아주 잘 알고 있다는 걸 알 수 있다. 페이로드는 메모리 내에서의 스캐닝을 피하고자 악성 행위를 실행하기 직전까지 기능을 암호화해서 감춘다. 트렌드 마이크로는 워터베어 캠페인을 운영하는 자들이 백도어를 감추려고 하는 건 처음 있는 일이라고 말한다. 그것도 이렇게 구체적인 제품만을 불능 상태로 만드는 걸 보면 이들이 자신의 표적을 매우 꼼꼼하게 이해하고 있다는 걸 알 수 있다.


4. [기사] A malvertising campaign targets iPhone users with Krampus-3PC
[https://securityaffairs.co/wordpress/95122/malware/krampus-3pc-iphone-malvertising.html]
100개 이상의 출판사 웹 사이트와 관련된 악성 광고 캠페인은 iPhone 사용자를 대상으로 Smart Krampus-3PC Malware를 제공했다. 영향을 받는 웹 사이트를 방문한 iPhone 사용자에게 식료품점 보상 광고로 가장한 사기 팝업이 보여주며, 식료품점 광고를 클릭하면 사용자가 개인 정보를 입력하도록 속이려고 피싱 페이지로 리디렉션된다. DSO에 의해Krampus-3PC1로 명명된 이 독특한 악성코드는 다단계 리디렉션 메커니즘과 기존의 스캐닝과 차단 툴을 회피하기 위한 두 가지 난독화 방법을 사용하여 페이로드(payload)를 전달했다. 공격자는 먼저 Adtechstack adtech 공급자를 통해 광고를 배포한 다음 플랫폼에서 구현 한 API를 사용하여 악성 코드를 삽입했다. 그리고 사용자가 사이트를 방문하고 손상된 광고의 광고 소재 태그가 로드되면Krampus-3PC는 (1)광고가 Adtechstack에 의해 호스팅되었는지 여부와 (2)타깃 게시자에게 광고가 게재되고 있는지 확인하는데 사용되는 코드의 압축을 푼다. 그리고 위의 검사가 만족되면 악성코드는 장치가 iPhone인지 확인하기 위해 추가 검사를 트리거하는 악성 스크립트를 삽입한다. 모든 결과에 만족하면Krampuss-3PC는페이로드드 URL(boostsea2)을 구축 및 실행하고 사용자 데이터를 C&C 서버로 보낸다. 이 페이로드 URL은 브라우저를 하이재킹하여 사용자를 가짜 보상 팝업으로 리디렉션하기 위해 페이지 주소를 대체하고, 리디렉션에 실패한 경우 백업 방법을 사용하여 악성 URL을 다른 탭에 로드한다. 또한, Krampus-3PC는 사용자의 세션과 쿠키 정보를 수집할 수 있어 공격자가 사용자의 다양한 온라인 계정에 로그인할 수 있다.


5. [기사] A flaw in outdated versions of Beaver Builder and Elementor plugins allows hacking WordPress sites
[https://securityaffairs.co/wordpress/95076/hacking/beaver-builder-elementor-hacking-wordpress.html]
MalCare의 보안 전문가는 'Ultimate Addons for Beaver Builder' 또는 'Ultimate Addons for Elementor'에서 악용하기 쉬운 인증 우회 취약점을 발견했다. 이 취약점은 플러그인을 통해 관리자를 포함하여 WordPress 계정 보유자가 Facebook 및 Google 로그인을 통해 인증하는 방식에 있다. 공격자는 이 취약점을 악용하여 암호 없이 사이트에 대한 관리 액세스 권한을 얻을 수 있다. Ultimate Addons는 소프트웨어 개발 회사인 Brainstorm Force에서 개발했으며 WordPress 웹 사이트 관리자가 추가 기능 번들에 액세스 할 수 있도록 한다. 전문가에 따르면 이 취약점이 공개된 지 이틀 만에 위협 행위자는 이미 이 취약점을 악용하기 시작했다. 두 개의 취약한 플러그인은 현재 수십만 개의 WordPress 웹 사이트에 설치되어 있다. 이 취약점을 악용하려면 해커가 사이트 관리자의 전자 메일 ID를 사용해야 하며, 대부분의 경우에 정보는 상당히 쉽게 검색 할 수 있다. 1.2.0.0 이전 버전의 Ultimate Addons for Elementor와 1.24.0 이전 버전의 Beaver Builder for Ultimate Addons를 실행하는 웹 사이트의 관리자는 최신 버전의 플러그인으로 업데이트를 진행해야 한다.

첨부파일 첨부파일이 없습니다.
태그 Konni  Waterbear  BlackTech  Krampus-3PC  Ultimate Addons